هکرها ابزار متن باز Sliver C2 را جایگزین Cobalt Strike و Metasploit کردند
اخبار داغ فناوری اطلاعات و امنیت شبکه
تعداد فزایندهای از عوامل تهدید شروع به تکیه بر فریمورک command-and-control (C2) با نام Sliver بهعنوان جایگزین متن باز برای ابزارهایی مانند Metasploit و Cobalt Strike کردهاند.
محققان امنیتی در Cybereason این پدیده جدید را در توصیه امنیتی که منتشر شد، تشریح کردند و اضافه کردند که Sliver به دلیل قابلیتهای مدولار (از طریق Armory)، پشتیبانی از پلتفرمهای مختلف و تعداد زیادی از ویژگیهای متنوع، محبوبیت بیشتری پیدا میکند.
در این گزارش آمده است : "Sliver C2 از زمان عرضه در سال ٢٠٢٠ بیشتر و بیشتر موردتوجه قرارگرفته است. تا به امروز، تعداد گزارشهای اطلاعاتی تهدیدات هنوز کماست و گزارشهای اصلی استفاده از SVR روسیه را با استفاده از Sliver C2 را نشان میدهند. "
به طور خاص، این تیم امنیت سایبری گفت که قبلا متوجه Sliver با عوامل تهدید شناخته شده و خانوادههای بدافزار مانند BumbleBee و APT29 (همچنین بهعنوان Cozy Bear) شده است.
فریمورک پس از بهرهبرداری مبتنی بر Golang توسط شرکت امنیت سایبری Bishop Fox طراحی شده بود تا چندین ابزار تست نفوذ را در اختیار متخصصان تیم قرمز قرار دهد. اینها شامل تولید کد دینامیک، مبهمسازی زمان کامپایل، حالت چند نفره و payloadهای مرحلهای و بدون استیج و غیره است.
محققان لویک کسل و مروجان انتونین در مشاوره Cybereason توضیح دادند : "Sliver بهعنوان یک payload مرحله دوم طراحی شده است که پس از استقرار، به عامل تهدید دسترسی کامل به سیستم هدف و توانایی انجام مراحل بعدی در زنجیره حمله را میدهد. "
به گفته کارشناسان امنیت سایبری، یک توالی حمله با استفاده از فریمورک C2 میتواند منجر به افزایش اختیار، سرقت اعتبارنامه و حرکت جانبی شود. یک حمله اثبات مفهومی توسط Cybereason نشان داد که مهاجمان درنهایت میتوانند کنترلکننده دامنه را برای استخراج دادههای حساس تصاحب کنند.
برای شناسایی حملاتی که از این پلتفرم سواستفاده میکنند، کسل و آنتونین به شرکتها توصیه کردند که مراقب امضاهای منحصربهفرد شبکه و سیستم باشند.
در این توصیهنامه آمده است : «تشخیص Sliver C2 ممکن است زیرا این فریمورک امضاهای خاصی را هنگام اجرای ویژگیهای خاص Sliver ایجاد میکند. تشخیص و فینگرپرینتینگ سرور زیرساخت نیز وجود دارد و در آن مقاله اشاره شده است. »
توصیه Cybereason دو ماه پسازآن منتشر شد که محققان امنیتی Proofpoint هشدار دادند که یک ابزار جدید تیم قرمز با نام "Nighthawk" ممکن است به زودی توسط عوامل تهدید مورد سواستفاده قرار گیرد.
برچسب ها: Sliver C2, Exotic Lily, Nighthawk, Armory, Cyber Deffence, Sliver, Bumblebee, Metasploit, فریمورک, Framework, Shathak, Cozy Bear, Golang, Cobalt Strike, Open Source, SVR, APT29, Hacker, متن باز, دفاع سایبری, تهدیدات سایبری, Cyber Security, هکر, امنیت سایبری, Cyber Attacks, حمله سایبری, news